Açık kaynaklı dağıtılmış veritabanı ve bilgi işlem platformu olan Apache Ignite’de ciddi bir güvenlik açığı (CVE-2024-52577) açıklandı.
Kusur, uzaktan saldırganların belirli konfigürasyonlarda güvensiz firalizasyon mekanizmalarından yararlanarak savunmasız sunucularda keyfi kod yürütmelerini sağlar.
İlk olarak 14 Şubat 2025’te bildirilen bu sorun, tüm Apache Ignite sürümlerini 2.6.0’dan (ancak hariç) 2.17.0’a etkiler ve platformu kullanan kuruluşlar için derhal yama gerektirir.
Güvenlik açığının teknik dökümü
Apache Ignite’ın sunucu düğümleri, Java’nın serileştirme/serileştirme çerçevesini kullanarak gelen mesajları işler.
Etkilenen sürümlerde, platform belirli ağ uç noktaları için sınıf serileştirme filtrelerini (kötü niyetli nesneleri engellemek için tasarlanmış güvenlik kontrolleri) yanlış atlar.
Bu kusurdan yararlanan saldırganlar, bu filtreleri atlayan zararlı nesneler içeren mesajlar oluşturabilir.
Hedef sunucunun sınıf yolu saldırgan tarafından seçilmiş sınıfı içeriyorsa, serileştirme, Ignite süreci ile aynı ayrıcalıklarla keyfi kod yürütülmesini tetikler.
Güvenlik açığı, gelen veri akışlarının eksik doğrulanmasına bağlıdır. Yanlış yapılandırılmış uç noktalar (örneğin, ince istemciler veya düğümler arası iletişim kanalları) serileştirilmiş Java nesneleri içeren yükler için giriş noktaları haline gelir.
Başarılı sömürü, altyapı içindeki tam sunucu uzlaşmasına, veri sızıntısına veya yanal harekete yol açabilir.
Azaltma ve yama önerileri
Apache Ignite ekibi, tüm uç noktalarda sınıf filtrelerini uygulayarak 2.17.0 sürümündeki kusuru ele aldı.
Yöneticiler hemen yükseltmelidir. Yükseltmelerin geçici olarak mümkün olduğu ortamlar için, ara önlemler şunları içerir:
- Ağ segmentasyonu: Ignite düğümlerine (varsayılan TCP bağlantı noktaları 47100, 47500-47501) güvenilir IP aralıklarına erişimi kısıtlayın.
- Çalışma Zamanı İzleme: Anormal serileştirme modellerini işaretlemek için izinsiz giriş algılama sistemlerini dağıtın.
- JVM düzeyinde korumalar: yüksek riskli paketleri engellemek için JVM’nin yerel sealizasyon filtresini (JDK.SerialFilter) etkinleştirin.
CVE-2024-52577, Java serileştirmeye dayanan dağıtılmış sistemlerde, güvensiz temerrütleri için uzun süredir eleştirilen bir özellik olan kalıcı risklerin altını çizmektedir.
Benzer güvenlik açıkları (örneğin, Apache Log4J’nin RCE kusurları), performans ve güvenliği dengelemede sistemik zorlukları vurgular. Uzmanlar kuruluşlara şunlara tavsiyelerde bulunuyor:
- Güvensiz serileştirmeye güvenmek için dağıtılmış çerçeveleri denetleyin.
- Notlar arası iletişim için JSON veya Protobuf gibi alternatifleri benimseyin.
- Dahili hizmet-hizmet trafiğine sıfır güven ilkelerini zorlayın.
19 Şubat 2025 itibariyle hiçbir aktif istismar belgelenmemiştir, ancak kusurun şiddeti göz önüne alındığında kavram kanıtı kodu öngörülmektedir.
Yöneticiler bu güvenlik açığını, özellikle güvenilmeyen ağlara maruz kalan Ignite kümeleri için yüksek öncelik olarak ele almalıdır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here